Expressway MRA Login and B2B Calling Issue 30th May 2020

ในช่วงที่ผ่านมาตั้งแต่วันที่ 1 มิถุนายน หลาย ๆ หน่วยงานที่ใช้งาน Cisco Expressway และได้ใช้ Sectigo CA Certificate ทำการรับรอง Issue หรือ sign Certificate ให้กับ Expressway จะเจอปัญหาใช้งาน MRA Login ไม่ได้ เช่น IP Phone หรือ Video Endpoint ที่อยู่ด้านนอก จะทำการเข้ามา Register CUCM ผ่านทาง Expressway-E โดยไม่จำเป็นต้อง VPN (VPNLess) ไม่สามารถ Login เข้ามาได้เลย รวมไปถึงเมื่อเข้าไปตรวจสอบภายใน Expressway ด้วยกันก็เจอ Traversal Zone มันไม่ active ครับ 

ภาพด้านล่างเป็นตัวอย่างที่ IP Phone ไม่สามารถ Register เข้ามาผ่านทาง Expressway ได้ครับ 


เหตุการณ์นี้เองเกิดขึ้นมาจาก Sectigo CA certificate package มันได้ expired ไปเมื่อวันที่ 30 พฤษภาคม 2020 ครับ

ก่อนอื่นมาปูความเข้าใจเรื่อง Certificate กันก่อนนะครับ การที่เราจะเข้าถึงเว็บไซต์หรือ domain name บางอย่าง ในระบบรักษาความปลอดภัยก็จะต้องมีคนกลางที่มีความน่าเชื่อถือได้เป็นผู้ออก Certificate ให้กับเว็บไซต์หรือ domain name นั้น ๆ ดังนั้นในระบบจึงประกอบไปด้วย 3 ฝ่าย คือผู้ใช้บริการ (ตัวเราเอง), ผู้ให้บริการ (เว็บไซต์ต่าง ๆ) และ Root CA ซึ่งจะเป็นคนกลางที่ทั้งสองฝ่ายเชื่อถือได้นั่นเองครับ

เมื่อเราทำการใช้บราวเซอร์เข้าไปในเว็บไซต์นั้น มันก็จะแสดง Certificate มาให้เราตรวจสอบ ซึ่งบราวเซอร์ของเราจะทำการตรวจสอบ Certificate นี้ กับผู้ให้บริการ Public CA ต่าง ๆ ที่เชื่อถือได้ ถ้าตรวจสอบแล้วว่าเป็นจริง มีการรับรองให้อย่างถูกต้อง ไม่ใช่เว็บไซต์ที่หลอกลวงหรือฟิชชิ่ง (Phishing) มันก็สามารถเข้าไปสู่เว็บไซต์นั้นได้ แต่หากไม่เจอมันจะขึ้นข้อความบนหน้าจอซึ่งมีข้อมูลที่เราเห็นบ่อย ๆ เช่น Your connection is not private เราจะรับความเสี่ยงที่จะเข้าไปในเว็บไซต์นี้ต่อหรือไม่ หากเราเข้าและรับความเสี่ยงได้ก็สามารถกด Proceed to xxxxx (unsafe) ได้เลย ตามรูปที่แสดงด้านล่างนี้ ซึ่งเป็นตัวอย่างทั้ง Google Chrome และ Mozilla Firefox

ด้านล่างนี้เป็นบราวเซอร์ของ Mozilla Firefox

ไม่ต่างอะไรกับการที่เราต้องไปทำบัตรประชาชนที่เทศบาล หรืออำเภอที่เป็นหน่วยงานราชการที่เราอยู่ หน่วยงานราชการก็เป็นเหมือนหน่วยงานกลางเชื่อถือได้ ที่ทำการออกบัตรประชาชนให้กับเราซึ่งมีบัตรมันก็มีวันหมดอายุเช่นเดียวกัน เมื่อไหร่เราถือบัตรประชาชนที่หมดอายุ และไปเจอกับตำรวจ หรือหน่วยงานที่เราอยากทำธุรกรรม ปรากฎว่าเห็นบัตรของเราหมดอายุ เราก็ไม่สามารถทำธุรกรรมต่อไปได้ ทางแก้ไขที่ดีที่สุด คือการไปต่ออายุบัตรใหม่ เราก็สามารถกลับไปทำธุรกรรมต่าง ๆ ได้เช่นเดิมครับ

ฉันใด ก็ฉันนั้น Root CA บน Expressway ที่มันติดมาตั้งแต่ต้นที่เรา Deploy มันหมดอายุไปเมื่อวันที่ 30 พฤษภาคม 2020 เราจึงจำเป็นต้องไปดาวน์โหลดมา และทำการอัพโหลดกลับเข้าไปใน Expressway ใหม่อีกครั้งเพื่อให้สามารถกลับมาเชื่อถือและทำงานได้อย่างปกติ

โดยทำการดาวน์โหลด Certificate จาก url Link ด้านล่างนี้ทั้ง 2 ไฟล์นะครับ แทนที่ตัว Sectigo Cert ที่ได้ expired ไปเรียบร้อยแล้วครับ

https://censys.io/certificates/52f0e1c4e58ec629291b60317f074671b85d7ea80d5b07273463534b32b40234/pem
https://censys.io/certificates/e793c9b02fd8aa13e21c31228accb08119643b749c898964b1746d46c3d4cbd2/pem

เมื่อได้ไฟล์ทั้ง 2 ไฟล์ ให้เราไปที่เมนู Maintenance > Security > Trusted CA Certificate เพื่อทำการอัพโหลดไฟล์ลงไปบน Expressway

ทำการ Delete Sectico/AddTrust CA certificate ตัวที่ Expired บน Expressway ออกผ่านทางเมนู Maintenance > Security > Trusted CA Certificate

เมื่อ Restart Expressway กลับมาก็สามารถทำงานได้ปกติครับ อย่าลืมไป Update กันนะครับ หากบางท่านประสบปัญหานี้แล้วยังแก้ไขไม่ได้ ลองตรวจสอบ Certificate ที่อยู่ใน Expressway และใช้วิธีการนี้ดูนะครับ ผมเชื่อว่าสามารถแก้ไขได้แน่นอนครับ

ลากันไปก่อนนะครับ เจอกันใหม่บทความฉบับหน้าทั้ง Troubleshoting และเทคนิคการ Configure ในอุปกรณ์ต่าง ๆ ครับ 

ที่มา https://support.sectigo.com/Com_KnowledgeDetailPage?Id=kA01N000000rgSZ
https://www.cisco.com/c/en/us/support/docs/unified-communications/expressway/215561-troubleshooting-expressway-mra-login-and.html